打造自适应 AI 运维智慧体： 大语言模型在软件日志运维的实践 刘逸伦 华为 2012 实验室 本科毕业于南开大学 ，硕士毕业于美国佐治亚理工学院。研究方向包括 AI 智能运维 ，大模型质量评估以及大模型提示策略 ，在相关领域以第一作者、 通讯作者身份在 ICDE 、 ICSE 、 IWQoS 等顶级国际会议 / 期刊发表 10 余篇 论文。 刘逸伦 华为 2012 文本机器翻译实验室工程 演讲嘉 宾 1. 软件日志运维观点 2. 自适应智慧体在运维领域面临的 Gap 3. 大模型 Prompt 引擎助力自适应运维智慧 体 4. 大模型知识迁移打造运维专精模型 5. 未来畅想 目录 CONTENTS PART 01 软件日志运维观点： 智能运维演进趋势是从任务数据驱动到自适应运维智慧体 (1) 日志是机器语言：大规模网络、软件系统在运行过程中每天会产生 PB 级别的日志，这些日志是一些类自然语言的文本，实时描述了设备 的运行状态、异常情况。 (2) 传统网络运维是机器语言的人工翻译过程：为了维护网络的稳定，运维人员会持续监控设备的运行状态，希望准确、及时地检测异常和 突发事件。网络日志是设备运行维护最重要的数据源，运维人员通常会通过解读日志中的自然语言、语义信息来发现问题、分析根因。 (3) 自动日志分析是机器语言的自动翻译过程：

......4 1.2 查看服务器是否存在隐藏账号、克隆账号.................................................... 4 1.3 查看 window 日志，检查登入时间，是否存在暴力破解等行为.......................5 2、 检查异常端口、进程.......................................... ................................16 三、日志分析..........................................................................................................17 1、window 日志分析.................................... ................................. 17 1.1 安全日志分析 .............................................................................................17 2、Linux 日志分析 .........................................

统安 全管理平台、网络型流量控制产品、负载均衡产品、抗拒绝服务攻击产品、终端接入控制产品、 USB 移动存储介质管理系统、文件加密产品、数据泄露防护产品、安全配置检查产品、运维安 全管理产品、日志分析产品、身份鉴别产品、终端安全监测产品、电子文档安全管理产品等 19 类网络安全专用产品，其中每类产品均按企业名称首字母进行排序。 中国网络安全产业联盟 ..............................................................................................444 日志分析产品 北京安信天行科技有限公司................................................................................. 通过网络基于不同协议连接到服务器的专用存储设备。 17 公钥基础设施 支持公钥管理体制 , 提供鉴别、加密、完整性和不可否认服务的基础 设施。 18 网络安全态势感知产品 通过采集网络流量、资产信息、日志、漏洞信息、告警信息、威胁信息 等数据 , 分析和处理网络行为及用户行为等因素 , 掌握网络安全状态 , 预 测网络安全趋势 , 并进行展示和监测预警的产品。 19 信息系统安全管理平台 对信息系

分析计算 /… … 数 据库 防 护 安全 流 量探 针 FW/IPS/IDS 运维管理安全能力 通常会部署了防火墙、态势感知、安全漏洞扫描 / 基线核查、运 维堡垒机、日志审计管理、上网行为审计等安全能力 安全建设基础相对完备， 能力的聚合和运营将成为关键 AV/ EPP/EDR 上 网 行 为 审 计 安 全 流 量 探 针 FW/ IPS/ 全运营 基于溯源图的终端 行为分析 SecurityGPT 公开 发布 Dex abeam 异常日志识别和分析 AI 小模型 取得明显成 效 全面拥抱 大模型 QRadar Watson ，基 于 AI 的日志分析和处 置 建议 NoDR 云原生行为基 线生成和检测 SAVE 3.0 多内核 AI 文件检测引擎 基于机器学习的加 密流量检测 辅助驾驶 零信任平台 数据安全平台 检测类大模型 运营类大模型 其他类大模型 …… 检测大模型 模型 安全 GPT 检测大模型 数据 流量日志 代码 溯源报告 恶意样本 安全知识 情报 公开漏洞 IOA 日志 代码理解能力 <%@page import=” <%@page import=”java ... 安全常识理解能力 Shell 俗称壳（用来区别于核），

等级保护 2.0 拓扑图案例 整体技术体系架构 产品清单 下一代防火墙 数据库审计 负载均衡 感知平台 + （检测探针） 上网行为管理 SSL VPN 信服云眼 / 信服云盾 日志审计系统 漏洞扫描系统 主机杀毒 运维堡垒主机 云平台安全建设拓扑图 法院等级保护 高校等级保护 广播电视等级保护 监狱等级保护 医院等级保护解决方案 医院整体拓扑图 内网终端接入域 系统 手麻 检测 探针 负载 均衡 内网运维管理域 安全感知平台 运维堡垒主机 补丁分发系统 日志审计系统 防病毒服务器 漏洞扫描系统 内网前置 网闸 外网前置 机（下一代防火墙）机 业务内网 外网运维管理域 日志审计系统 运维堡垒主机 补丁分发系统 漏洞扫描系统 防病毒服务器 外网核心域 对外服务器域 下一代防火墙 出口网络 / 安全设备 于安全服务平台 核心交换 安全运营服务 安全运营服务 安全运营服务 下一代防火墙 上网行为管理 数据库审计 下一代防火墙 日志审计系统 杀毒软件 下一代防火墙 上网行为管理 广域网优化 负载均衡 日志审计系统 杀毒软件 数据库审计 负载均衡 堡垒机 SSL VPN 流量编排 等保二级 合规模板 出口边界 安全模板 等保三级 合规模板 杀软

电力供应 明御安 全网关 明御 DPI 明御 APT 邮件 安全 明御 NTA 明御 WAF 数据库 审计 日志 审计 EDR 数据库 防火墙 网络结 构优化 安全策 略调整 通信传 输加密 安全管理中心 堡垒机 日志审计 漏洞扫描 EDR 管控 等级保护三级典型拓扑 NGFW Internet 路由器 联网区 NGFW 研 发 区 WAF 核心交换机 核心交换区 DMZ 区 NGFW NGFW NGFW NGFW 物联网安全心 视频准入引擎 安防设施区 前端 IPC 物联网监测 运维审计 APT DPI 远程评估 日志审计 大数据 EDR 中心 运维管理区 抗 DDoS 负载均衡 上网行为管理 WAF VPN 分支外联 NGFW 路由器 安全通信网络 安全通信网络 安全通信网络 安 全 防病毒网关、垃圾邮件网关、邮件审计、下一代防火墙 安全审计 集中日志审计、上网行为管理 可信验证 可信计算机制 NGFW Internet 路由器 联网区 NGFW 研 发 区 WAF 数据库 防火墙 数 据 中 心 区 办 公 区 核心交换机 核心交换区 DMZ 区 NGFW NGFW NGFW 视频准入引擎 安防设施区 前端 IPC APT DPI 日志审计 运维管理区 抗 DDoS

新增要求 安全 管理 中心 系统管理 二级以上有要求 审计管理 二级以上有要求 安全管理 三四级要求 集中管控 三四级要求，相对等保 1.0 新增要求， 明确提出集中监控、管理、日志统一 分析等；日志 6 个月；防病毒和补 丁统一推送；各类网络安全事件进行 统一识别、报警和分析 等保 2.0 通用要求变化 第 20页 等保与分保的区别 适用对象 主管部门 标准体系 等级级别 定级依据 /UTM 、 IDS/IPS 、日志审计、网络审计、堡垒机、漏扫、 VPN 、终端安全管理、数据库审计、网络版杀毒软件、安全管理平台 选配推荐：抗 DDOS 、网闸、防毒墙、 WAF 、网络准入、 4A 账号管理、负载均衡、态势感知、终端数据防泄漏、负载均衡、 VSG 视频安全防护系统、网页防篡改 等保二级 必配推荐：防火墙 /UTM 、 IDS/IPS 、日志审计、堡垒机、网络版杀毒软件 选配推荐： 安全通信 第 46页 安全服务体系 安全服务体系 产品服 务内容 产品资源支撑 云安全服务 等保服务 安全运营 下一代防火墙 云主机安全 云堡垒机 漏洞扫描 数据库审计 日志审计 WEB 应用防火墙 网页防篡改 安全管理中心  SSL VPN  等保咨询  等保建设  等保整改  等保测评  安全咨询服务  持续威胁管理服务

........................................................................................25 4.3.2 日志审计................................................................................................. 在信息网用户汇聚节点旁路部署流量分析系统进行流量的实施监测和预警。流量分 析 系统采用先进的检测技术体系，基于状态的应用层协议分析技术，使系统能够准确快速地 检测各种攻击行为。 14 新一代信息网安全方案设计 流量分析日志可与信息网中的入侵检测、各类资产、威胁情报等联动，分析某一端 口 的访问频率、离散度， 建立流量对比基线、行为对比基线， 进而探测端口异常行为、发现 非 法远程访问及各类违规接入。还可用于解析常见的各类网络层协议， 提供最佳的检测。通过对恶意文件和隐蔽式攻击行为的检测和深入分析，在不断发 展的网络 环境中， 沙箱检测系统可为警务应用提供检测高未知威胁和针对性攻击所需的 可见性和情 报。 沙箱检测系统可与流量分析日志、威胁情报、入侵检测日志等进行联动，为信息网 提 供开放且可扩展的自定义动态沙盒分析，在第一时间保护 XX 网免于 APT 与针对性攻击 的 危害。 2.3.3.5 数据防泄漏 数据防泄露系统采用业界先

中国人民大学附属中学 北京市玉渊 潭中学 爱数，以专注、技术创新为本，发挥全域数据能力 数据驱动智慧校园建设｜ 06 部分教育客户 PEKING UNIVERSI TY U N 统一日志管理及可观测性方案 云基础设施可观测性方案 灾备体系可观测性方案 AnyShare 可观测性方案 非结构化数据中台，实现“数据” +“ 知识”双擎驱动 增强数字化韧性，提升服务水平（ SLA 15 统一日志管理及可观测性方案 赋能智慧校园运维管理，提升服务水平（ SLA ） 智慧校园强调校园各个系统的互联互通，信息共享和业务协同。 日志、指标等数据作为校园信息化过程中最直接的记录，能 够真实、准确地反映校园的各项活动，是智慧校园建设中不可或缺的一部分。通过收集和分析各类日志、指标数据，能够帮 助高校了解师生的需求和问题，从而提供更加精准、个性化的智慧应用；同时日志数据也是信息安全事件追溯和防范的重要 和防范的重要 手段。无论是法规要求，还是业务运营 / 运维要求，都需要能有效的采集并使用好这些日志、指标数据，提升各类智慧应用 的服务水平（ SLA ）。 AnyRobot 统一日志管理及可观测性方案，旨在帮助组织实现对全平台机器数据的统一采集、存储、管理和分析，包括日志、 指标和调用链等。采用云原生架构和大数据处理引擎，利用机器学习算法和知识图谱技术，对各类数据进行集成和处理，全

云存储安全审计体系结构......................................................................................73 图表 49 安全日志审计系统结构图.......................................................................................74 图表 HDFS 中，以供查询交管 云技术方案建议书 第 18 页 系统总体设计 数据使用。 专题业务分析，通过 MapReduce 并行计算，同期提取业务数据，将结果 分存两路，一路存入 Hbase 或日志详单存储， 一路存入关系型数据库。 报警数据处理 智慧交通云平台对接收到的实时交管数据进行计算，以判断这辆车有没有 符合报警条件。如果符合，会对报警信息入库，并同时通过对外实时报警的接 口，将报警信息迅速展示到用户界面上。 1.4.2.4 系统日志分析处理 系统各服务模块在运行期间写日志文件，将进程的模块编号、服务器的 IP、出错页码等日志的状态（错误、告警、提示）等级别的信息保存磁盘文件， 供工程师来分析系统运行状态。同时日志分析进程(loganalyse）分析日志文件， 云技术方案建议书 第 24 页 系统总体设计 将重要的日志信息，进行对比、分析并汇总后，生产统一格式的日志信息，提 取出来，写入